MuOnline x Antivirus - Como remover falso-positivos nos antivírus

[Alankoba]

Belo tutorial!

Me atrevo a dizer que não acredito em nenhum procedimento descrito pelo fato de duvidar muito que com apenas um e-mail uma detentora de Anti-vírus
irá liberar o programa X do seu banco de dados sem ao menos analisar tal programa, e para isso, iriam necessitar do programa aberto para tal análise, certamente não iriam perder tempo Decompilando um .exe para analisar. É o nome público do Anti-vírus em jogo e não abririam exceções na detecção tão facilmente.
Outro ponto é toda a facilidade, imagina se funcionasse tão efetivamente, os hacker, maliciosos e etc... teriam toda a sua vida facilitada, apenas reportando como falso positivo ou usando um simples programa para assim disseminar os seus vírus em nossos PC's.

Para incluir o arquivo na lista de exceções não basta apenas envia-lo no formulário/e-mail, se você compacta-lo com Molebox ou Themida é enviar e receber em horas a recusa. O arquivo será analisado e se passar na análise ele deixa de ser detectado já na próxima atualização.

Eles não precisam descompilar o executável para analisá-lo, basta observarem alguns aspectos como.
* APIs que o executável adiciona como vinculo estático na tabela de importação (IAT).
* Combinação dos empilhamentos de alguns endereços, como por exemplo, uma chamada para GetAsyncKeyState e logo em sequência qualquer API de socket ou escrita de arquivo.
* Mudanças drásticas na estrutura dos arquivos como por exemplo, alterar o entryPoint para um OFFSET que esta fora do especificado no compilador do vc++6.0, isso acontece muito com o arquivo main.exe do Muonline, pois muitas customizações são feitas através de "hooks" em algumas chamadas e isso inclui o próprio entryPoint para carregar a DLL, veja bem, com certeza o compilador original do main.exe não utilizaria aqueles endereços para nada, portanto é um arquivo alterado por engenharia reversa, pode ser um malware...

Isso são apenas alguns exemplos, posso citar muitos outros se ainda tiver dúvida.
Eu já consegui deixar um main.exe 100% limpo na verificação do virustotal apenas com o report do falso-positivo nos formulários.

Acredito que nesses anos eu já tenha feito mais de 500 reports eu tive menos de 30 recusas, e em todos os casos sem exceção foi por conta de estruturas mirabolantes no main.exe como juntar o player.bmd no main com o Molebox.

De qualquer forma um relato recente... Semanalmente envio arquivos de um sistema de gestão para alguns AVs e NUNCA recebi uma recusa, as respostas chegam muito rápido, raras vezes passou de 48 horas.

O Virustotal possui mecanismos para mitigar problemas como liberação por tentativa/erro, note que se você enviar 3 arquivos no site e depois enviar um outro este sempre receberá a mensagem que não contem qualquer ameaça, basta recarregar a página e ver o resultado real, isso tudo pra evitar bots.

Cada AV faz a análise de uma forma especifica, e como já fiz vários reports notei que também há uma tentativa deles de evitarem que malwares verdadeiros entrem na exceção, vez ou outra eles dizem que o arquivo foi incluído, mas ao checar novamente ele continua lá.

Sobre a assinatura digital eu nem vou comentar, pois acredito que você deva saber que é a unica forma recomendada para de fato se livrar de problemas com false-positives. No tópico eu ensino a criar o próprio certificado, isso já ajuda a elevar a reputação do arquivo, faça você mesmo o teste.

Enfim... Eu não encontrei nenhum material nos fóruns explicando como resolver isso, entrei na ultima semana em vários grupos de novos servidores e sempre a mesma coisa, prints e mais prints de players que não conseguem jogar por conta disso, que é algo simples de resolver mas a comunidade não havia democratizado essa informação.

A comunidade brasileira é a mais ativa no Muonline, mas infelizmente democratizar o acesso a conteúdo de qualidade nunca foi nosso forte.
Vejo outros jogos menos populares receberem centenas de modificações/customizações que parece que não há limites para os servidores privados...

Já no Muonline pouca coisa de fato evoluiu nesse sentido, demorou demais pra sair os emuladores, o pessoal fez cada trabalho digno de Cracker russo para adicionar funcionalidades no gameserver da própria Webzen, coisas que nunca fizeram sentido pra outros jogos, pois a emulação do server sempre foi o ponto principal antes das customizações... Mas isso é papo pra um outro tópico.

[andredeco]

Para incluir o arquivo na lista de exceções não basta apenas envia-lo no formulário/e-mail, se você compacta-lo com Molebox ou Themida é enviar e receber em horas a recusa. O arquivo será analisado e se passar na análise ele deixa de ser detectado já na próxima atualização.

Eles não precisam descompilar o executável para analisá-lo, basta observarem alguns aspectos como.
* APIs que o executável adiciona como vinculo estático na tabela de importação (IAT).
* Combinação dos empilhamentos de alguns endereços, como por exemplo, uma chamada para GetAsyncKeyState e logo em sequência qualquer API de socket ou escrita de arquivo.
* Mudanças drásticas na estrutura dos arquivos como por exemplo, alterar o entryPoint para um OFFSET que esta fora do especificado no compilador do vc++6.0, isso acontece muito com o arquivo main.exe do Muonline, pois muitas customizações são feitas através de "hooks" em algumas chamadas e isso inclui o próprio entryPoint para carregar a DLL, veja bem, com certeza o compilador original do main.exe não utilizaria aqueles endereços para nada, portanto é um arquivo alterado por engenharia reversa, pode ser um malware...

Isso são apenas alguns exemplos, posso citar muitos outros se ainda tiver dúvida.
Eu já consegui deixar um main.exe 100% limpo na verificação do virustotal apenas com o report do falso-positivo nos formulários.

Acredito que nesses anos eu já tenha feito mais de 500 reports eu tive menos de 30 recusas, e em todos os casos sem exceção foi por conta de estruturas mirabolantes no main.exe como juntar o player.bmd no main com o Molebox.

De qualquer forma um relato recente... Semanalmente envio arquivos de um sistema de gestão para alguns AVs e NUNCA recebi uma recusa, as respostas chegam muito rápido, raras vezes passou de 48 horas.

O Virustotal possui mecanismos para mitigar problemas como liberação por tentativa/erro, note que se você enviar 3 arquivos no site e depois enviar um outro este sempre receberá a mensagem que não contem qualquer ameaça, basta recarregar a página e ver o resultado real, isso tudo pra evitar bots.

Cada AV faz a análise de uma forma especifica, e como já fiz vários reports notei que também há uma tentativa deles de evitarem que malwares verdadeiros entrem na exceção, vez ou outra eles dizem que o arquivo foi incluído, mas ao checar novamente ele continua lá.

Sobre a assinatura digital eu nem vou comentar, pois acredito que você deva saber que é a unica forma recomendada para de fato se livrar de problemas com false-positives. No tópico eu ensino a criar o próprio certificado, isso já ajuda a elevar a reputação do arquivo, faça você mesmo o teste.

Agora está mais que compreendido. Sou totalmente leigo nestas questões de programações e etc... e em muitos anos nesta área de MuServer
eu nunca ouvi falar destes procedimentos, que por sinal são bem simples, por isto achei estranho e fácil demais. Certamente é uma ajuda
enorme, principalmente para quem manuseia as Seasons baixas onde praticamente todo Main acusa vírus.
Há sempre algo novo a aprender, muito obrigado por toda a explicação e conhecimento compartilhado.